Règles de mots de passe NIST 800-63B : résumé pratique 2026
Résumé en langage clair des directives NIST SP 800-63B. Ce qui a changé, pourquoi les règles de complexité ont été abandonnées et comment implémenter des politiques conformes.
Lecture essentielle
Qu'est-ce que NIST SP 800-63B ?
Le NIST SP 800-63B fait partie des Directives d'Identité Numérique émises par le National Institute of Standards and Technology. Bien qu'obligatoires pour les agences fédérales américaines, ces normes sont devenues la référence mondiale.
La révision la plus récente a fondamentalement changé la façon dont la communauté pense les mots de passe. Elle a rejeté des décennies de sagesse conventionnelle au profit de pratiques fondées sur des preuves.
Comprendre ces directives est essentiel que vous soyez développeur, administrateur IT ou utilisateur individuel.
Conseils associés
Les changements clés : ce que NIST a bien fait
Abandonner les règles de complexité obligatoires. NIST déconseille explicitement d'exiger majuscules, chiffres ou caractères spéciaux. La recherche montre que la complexité forcée mène à des modèles prévisibles.
Arrêter d'exiger des changements périodiques. NIST recommande de ne changer que lorsqu'il y a preuve de compromission.
Vérifier contre les listes de mots de passe compromis. L'API Have I Been Pwned utilise la k-anonymisation pour vérifier plus de 900 millions de mots de passe.
Autoriser les mots de passe longs. Les systèmes doivent accepter au moins 64 caractères.
Exigences de longueur minimale
NIST fixe un minimum absolu de 8 caractères pour les mots de passe choisis et 6 pour les PINs aléatoires. Cependant, 12 caractères est le minimum pratique recommandé et 15+ l'idéal.
Pour les actifs de haute valeur, 16+ caractères ou une phrase de 5+ mots est recommandé.
Les systèmes ne doivent pas imposer un maximum inférieur à 64 caractères.
- 8 caractères : minimum absolu NIST
- 12 caractères : minimum pratique recommandé
- 15+ caractères : recommandé pour comptes importants
- 64 caractères : maximum minimum supporté
- 6 chiffres : minimum pour PINs générés aléatoirement
Listes de mots de passe interdits et vérifications
NIST exige que les nouveaux mots de passe soient vérifiés contre une liste de mots de passe courants, attendus ou compromis.
Le système doit fournir une explication claire lors du rejet, pas des messages génériques.
L'API HIBP Passwords utilise la k-anonymisation : votre application n'envoie que les 5 premiers caractères du hash SHA-1 et vérifie localement.
Stockage des mots de passe : exigences de hachage
NIST exige le stockage avec des fonctions de dérivation de clés à forte consommation de mémoire. Algorithmes recommandés : Argon2id, bcrypt (facteur minimum 10), ou PBKDF2-HMAC-SHA256 (minimum 600 000 itérations).
Argon2id est le choix préféré pour les nouvelles implémentations.
N'utilisez jamais de fonctions de hachage simples (MD5, SHA-1, SHA-256). Un attaquant avec GPU moderne peut calculer des milliards de hashes SHA-256 par seconde.
Utilisez toujours un sel aléatoire unique par mot de passe (minimum 128 bits).
Authentification multifacteur
NIST recommande fortement le MFA. Les trois facteurs : quelque chose que vous savez, avez, êtes.
NIST classe les authentificateurs en trois niveaux (AAL1, AAL2, AAL3). AAL2 est adapté à la plupart des applications professionnelles.
Les codes SMS sont classés comme authentificateur « restreint » en raison de vulnérabilités connues. Préférez les apps TOTP ou les clés FIDO2.
Avec MFA, NIST autorise l'assouplissement de certaines exigences, mais les mots de passe faibles restent un risque.
Checklist d'implémentation
Supprimez les exigences de complexité. Longueur minimale 12, maximale au moins 64. Implémentez la vérification HIBP.
Mettez à jour le stockage vers Argon2id, bcrypt ou PBKDF2. Rehashage transparent lors de la prochaine connexion.
Supprimez les changements périodiques. Implémentez la détection de fuites et la limitation de tentatives.
Activez le MFA en priorité FIDO2/WebAuthn ou TOTP.
- Supprimer les mandats de complexité
- Longueur min 12, max 64+
- Vérifier contre listes compromises (HIBP)
- Utiliser Argon2id / bcrypt / PBKDF2
- Éliminer la rotation périodique
- Limiter les tentatives de connexion
- Déployer MFA (FIDO2 > TOTP > SMS)
- Messages clairs lors du rejet
Étapes suivantes
Que faire avec un mot de passe sécurisé ?
Un mot de passe fort n'est que la première étape. Pour protéger réellement vos comptes, vous avez besoin d'un gestionnaire de mots de passe fiable qui stocke, remplit automatiquement et synchronise vos identifiants sur tous vos appareils.
Nous avons comparé les gestionnaires de mots de passe les plus populaires de 2026 pour vous aider à faire le bon choix.
NordPass se distingue par son chiffrement XChaCha20 à connaissance zéro, le support natif des passkeys et l'interface la plus intuitive parmi les gestionnaires premium.
| Fonctionnalité | NordPass | 1Password | Bitwarden Free |
|---|---|---|---|
| Prix/mois | $1.49/mo | $2.99/mo | $0 |
| Appareils | Illimité | Illimité | Illimité |
| Passkeys | Oui | Oui | Non |
| Scan de fuites | Oui | Oui | Non |
| 2FA intégré | Oui | Oui | Oui |
| Partage sécurisé | Oui | Oui | Limité |
| Remplissage auto | Oui | Oui | Oui |
Ceci est un lien d'affiliation. Si vous effectuez un achat, je peux recevoir une commission — cela aide à maintenir le site gratuit.